KT, 또 개인정보 유출 '우리에게 보안은 없다'

"올레~ 올레올레, 축하드립니다. 고객님. 최신 휴대폰을 저렴하게 구매하실 수 있습니다"

KT 사용자라면 한두 번 이상은 받아본 전화다. 어떻게 스마트폰 약정 기간이 얼마 남지 않았다는 것을 귀신 같이 알아내고 전화했는지 참으로 궁금하다. 오늘 그 궁금증이 풀렸다. KT에서 개인정보를 빼돌린 후 스마트폰 약정 기간이 얼마 남지 않은 사용자에게 전화를 걸어 스마트폰 교체를 유도한 일당이 경찰에 붙잡혔다.

경찰은 KT에서 1,170만 명의 개인정보를 빼돌린 해커 김모 씨(29)와 김씨와 함께 KT 홈페이지 해킹을 모의한 텔레마케팅업체 대표 박모 씨(37)를 붙잡아 조사중이라고 6일 밝혔다. 이들은 KT 홈페이지에 로그인 한 뒤 이용대금 조회 페이지에서 가입자에게 부여된 9개 단위의 고유번호를 무작위로 자동 입력시켜 고유번호를 알아낸 뒤 사용자의 개인정보를 빼돌렸다. 고유번호란 사용자가 KT의 홈페이지에서 이용대금을 확인하려 할 때 필요한 번호로, 사용요금 고지서에 적혀있다.

경찰 수사 결과 KT 홈페이지의 보안은 말그대로 '막장' 그 자체였다. 김모 씨 일당이 홈페이지 해킹에 동원한 프로그램은 '파로스'였다. 파로스는 원래 특정 숫자 패턴을 자동 입력해 비밀번호가 해킹에 취약한지 알려주는 프로그램이지만, 이들은 이를 변조해 해킹 프로그램으로 둔갑시켰다. 파로스를 이용해 무작위로 생성된 고유번호를 쉬지 않고 입력했다. 하나만 걸리면 된다는 식이다. 이를 통해 하루에 최대 20만~30만 명에 이르는 개인정보를 빼냈다. 이들은 지난 달까지 전체 KT 가입자 1,600만 명 가운데 1,170만 명의 이름과 주민등록번호, 휴대전화번호, 주소, 직업, 은행 계좌번호 등을 빼돌렸다.

여기서 KT는 상식적으로 이해할 수 없는 시스템을 사용 중인 것으로 드러났다. 타인의 ID와 비밀번호로 로그인하더라도 고유번호만 알고 있으면 해당 사용자의 개인정보에 접근할 수 있었다. 김 씨 일당은 이를 활용해 자신들의 ID와 비밀번호로 로그인 한 후 고유번호를 무작위로 입력했다. ID와 비밀번호는 아무런 존재가치가 없었던 셈이다. 고유번호를 사용 중인 타사의 홈페이지는 해당 사용자의 ID와 비밀번호로 로그인 한 후 고유번호를 입력하는 2중 보안을 채택하고 있지만, KT의 홈페이지는 형태만 흉내내고 '왜 고유번호를 사용하는지' 본질을 망각한 껍데기에 불과했다.

고유번호가 존재하지 않거나 틀리면 조회를 정지시키고 해당 IP를 차단/추적하는 시스템도 없었다. 한 보안 전문가는 "비밀번호가 3회 이상 틀리면 조회가 정지되는 시스템이 고유번호에도 당연히 적용돼 있어야 한다"며, "이러한 시스템이 존재하지 않는 KT 홈페이지는 상식적으로 이해할 수 없다"고 말했다. 또, "하루 종일 같은 IP에서 수없이 고유번호를 입력하는 등 명백한 해킹 정황이 있었음에도 KT측이 이러한 사실을 파악하지 못한 점 역시 경악스럽다"고 강조했다. 김 씨는 경찰에게 "수 많은 홈페이지 해킹을 시도했지만 실제로 뚫린 곳은 KT뿐이었다"고 증언한 것으로 알려졌다.

이번 사건은 박 씨의 주도하에 이뤄졌다. 박 씨는 매달 1,000만 원의 월급을 주고 김 씨가 빼돌린 개인정보를 사들였다. 박 씨는 김 씨가 해킹한 정보를 활용해 약정 기간이 얼마 남지 않은 가입자들에게 전화를 걸어 "싸게 판다"고 속인 뒤 1만1000여 대를 팔아 115억 원의 매출을 올렸다. 박 씨는 이 과정에서 휴대전화 한 대당 20만~40만 원씩의 보조금을 받아 30여억 원을 챙긴 것으로 조사됐다. 또, 박 씨는 수도권의 다른 휴대전화 대리점 3곳에 500만 명에 이르는 개인정보를 팔아넘긴 혐의도 받고 있다.

이번 사건은 얼마 전 미래창조과학부가 기업들의 보안 실태를 점검한 후 이동통신사는 '양호'하다고 평가한 후 벌어진 사태여서 더욱 충격을 주고 있다. 정부의 보안 실태 확인이 그저 형식적인 절차였음을 보여주는 증거이기 때문. 또, KT는 지난 2012년 7월에도 비슷한 수법으로 전산망을 해킹 당해 870만 명의 고객 정보가 유출된 적이 있다. 당시에도 사장이 사과와 함께 재발방지를 약속했지만 헛된 메아리에 불과했다. 지난 1년간 홈페이지가 해킹당했음에도 그 사실조차 인지하지 못했다는 점에서 비난을 피할 수 없게 됐다.

서울YMCA, 경제정의실천시민연합, 오픈넷 등 시민단체도 즉시 KT를 비판하고 책임있는 후속조치를 요구하는 성명을 냈다. 책임소재를 명확히 해 관련자를 처벌하고 소비자의 피해를 보상해야 하며, 이동통신사가 사업에 불필요함에도 수집한 개인정보(주민등록번호 등)를 즉시 폐기해 개인정보 유출사태의 재발을 방지해야 한다는 것이 이들의 주장이다.

KT는 7일 오후 1시 광화문사옥에서 황창규 회장이 직접 나와 고객들에게 사과했다. 황 회장은 "보안시스템에 대해서는 모든 자원을 동원해 빠른 시간안에 혁신하겠다"며, "과거 잘못된 투자와 정책을 바로잡는 것은 물론이고, 조속한 원인 규명을 통해 관계자들은 엄중 문책하고 원점에서 다시 시작할 것"이라 말했다. 또, "고객의 개인정보가 유통되지 않도록 관련 부처와 협력해 최우선적으로 조치하겠다"며, "금번 유출사건에 대한 구체적인 내용과 문제점, 개선 대책에 대해서는 빠른 시간 내에 다시 말씀 드리겠다"고 설명했다. 하지만 피해를 입은 고객에게 어떻게 보상할 것인지는 공개하지 않았다. 7일 현재 KT 홈페이지는 폐쇄된 상태다.

글 / IT동아 강일용(zero@itdonga.com)